manski's blog

Zertifikate im Firefox 3.0

Jetzt ist der Firefox 3.0 nun schon seit einiger Zeit draußen und bis jetzt bin ich mit der neuen Version sehr zufrieden. Insbesondere die verbesserte Geschwindigkeit hat es mir angetan. Eine Sache gibt es jedoch, die mich etwas nervt: die Handhabung von unbekannten Zertifikaten.

Kurzer Einschub: Zertifikate sind im Web dafür da, die Verbindung zu einer Website zu verschlüsseln und gleichzeitig ein Mittel darzustellen, um zu prüfen, ob das Zertifikat auch wirklich gültig ist (und nicht von jemandem anderen kommt – siehe Man-In-The-Middle-Angriff).

Update: Ich bin auf das Addon “Perspectives” gestoßen, das das “Problem” behebt und sogar noch zusätzliche Sicherheit bietet. Es wurde an der Carnegie-Mellon University entwickelt.


Nun kommt es von Zeit zu Zeit vor, dass eine Seite ein Zertifikat anbietet, das nicht verifiziert werden kann (also nicht von einer Zertifizierungsstelle ausgegeben wurde, die der Firefox als “vertrauenswürdig” eingestuft hat). Insbesondere passiert das auf Websites von privaten Leuten, die keine hunderte von Euro für ein Zertifikat ausgeben können oder wollen.

Besucht man mit dem Firefox ein Seite (z.B. hier), die ein solches nicht verifizierbares Zertifikat enthält, dann sah die Fehlermeldung bis zum Firefox 2.0 noch so aus:

Attachment “/www/htdocs/w00947c7/wordpress/wp-content/uploads/2008/07/firefox-2-zertifikat-meldung.jpg” not found

Im Firefox 3.0 hat sich diese Meldung geändert und sieht jetzt so aus:

Attachment “/www/htdocs/w00947c7/wordpress/wp-content/uploads/2008/07/firefox-3-zertifikat-meldung.png” not found

Das Problem bei dieser Meldung ist: Man kann das Zertifikat nicht einfach mehr nur für die aktuelle Sitzung akzeptieren. Man benötigt 5 Klicks (im Gegensatz zu einem im Firefox 2.0), um das Zertifikat temporär zu akzeptieren. Und für mich als IT-Profi (= ich weiß, was ich tue und möchte mir mein Verhalten eigentlich nicht von meiner Software vorschreiben lassen) ist das eher nervig als alles andere.

Es gibt jedoch einen kleinen Lichtschimmer: Man kann die Anzahl der Klicks auf 3 reduzieren. Dazu gibt man in der Adresszeile about:config ein, ignoriert die (zugegeben etwas witzige) Warnung und setzt dann die folgenden beiden Werte entsprechende:

  • browser.xul.error_pages.expert_bad_cert auf true: Deaktiviert den Link “Oder sie können eine Ausnahme hinzufügen…” und zeigt die Knöpfe sofort an. (Klick auf den Link gespart.)
  • browser.ssl_override_behavior auf 2: Lädt das Zertifikat automatisch herunter, wenn der Dialog “Sicherheits-Ausnahmeregel hinzufügen” geöffnet wird. (Klick auf “Zertifikat herunterladen” gespart.)

Leider scheint es keine Konfigurationsmöglichkeit zu geben, die Checkbox “Diese Ausnahme dauerhaft speichert” standardmäßig zu deaktivieren. Das würde dann auch noch mal einen Klick sparen – aber man kann ja nicht alles haben.

No comments yet

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>